安全相关的各种考虑中,最重要的或许就是到底要花多少钱才能在大范围网络攻击和数据泄露时代有效保护公司数据了。
区分合规支出与恢复支出
建立安全预算的第一步,就是区分安全相关支出的两大主要门类:合规支出与恢复支出。
1. 合规支出
是为满足安全政策或规定而产生的预防性开支。合规支出主要与预防措施相关,比如防火墙、安全软件投资、员工培训项目等。
合规支出大部分都会编入预算,而公司预算中包含的合规支出数额最好来自于决策者对安全资源分配领域深思熟虑的结果。
2. 恢复支出
则是由安全问题导致的开支。恢复支出涵盖较广,包含了源于数据泄露或各类攻击所致的全部开支,比如盗窃、勒索、商机丧失,还有为恢复信誉而做的公关努力。
为网络攻击做预算非常难,因为其所造成的损失取决于多种因素,比如攻击的严重性,以及公司是否做好了网络攻击恢复预案。
合规与恢复相比,前者明显更好做也更可取,因为它是有规划的支出,而且一般比恢复要便宜些。企业安全数据交换解决方案提供商Globalscape表示,不合规的代价,或者说不遵从政策规定的后果,大大超过合规的成本。
合规开支高未必能降低恢复成本。但是,更高的合规支出可以让公司更好地避免恢复支出。
安全预算基于审计
凡事预而后立,在往安全中投入任何资源之前,需对公司基础设施中的全部安全终端进行审计,确定自己预算的重点都在哪里。
进行审计可以让公司了解主要漏洞,认清安全投资应重点放在什么控制措施上。
比如说,如果你在审计中发现公司安全漏洞集中在糟糕的网络管理上,比如雇员出差或在家办公时经常不用VPN连接公司系统,你就可以把你的预算落在解决网络接入的缺陷上,比如重新配置设备,只允许经由VPN或安全网络连接公司系统。
安全预算要考虑安全人才短缺情况
网络威胁态势引出了所有公司企业在制定安全预算的时候都需要考虑的两大安全现实。
第一个就是网络安全人才短缺,或者说当前市场上合格网络安全人才的缺乏。第二个残酷的现实是,随着网络罪犯人数的倍增和技术的改进,公司企业遭受网络攻击的可能性也大大增加了。
因为缺乏确切的解决方案,这两个问题目前都相当严峻。网络安全人才短缺的核心问题在于有能力的网络安全雇员供小于求,谁都不能凭空造出大量人才来填补该领域的人才短缺。
而且,网络罪犯的扩张也没有多少阻力,尤其是在当今全球联网的世界,很多攻击都是在受害公司或组织的监管范围之外发起的。
这两大威胁还相互促进:网络安全人才短缺增加了公司遭到网络攻击的几率。信息系统安全联盟(ISSA)的研究表明,缺乏足够的网络人才,事实上给约20%的公司招致了网络攻击。另外,网络安全人才缺口在安全分析领域尤其大,这使得公司企业更加难以确定自身脆弱领域,不能有效标定其安全投资。
基于此,公司企业应将网络安全人才短缺纳入安全预算考虑之中。如果不知道怎样合理制定安全预算,可以求助网络安全公司和安全顾问等外部资源。虽然这些资源也是要花钱雇的,但在专业安全分析上的初始投资,最终将为你省去遭遇网络攻击的大笔恢复支出。
明智的预算催生健壮的网络安全策略
被大型网络安全事件屡屡惊吓的一年过后,安全预算应成为公司企业2022重大事项之一。为周全应对未来一年可能遭遇的安全威胁,公司企业需要制定明智的安全预算。
恰当的安全预算来自于公司对安全相关的两大主要开支的考虑:合规支出与恢复支出。
想要有效规划合规支出,公司需了解当前网络威胁态势的严重性,可进行审计以发现公司最大安全漏洞,并将安全预算导引向补强这些短板上。
此外,公司还需对恢复支出采取务实的方法和预算。网络攻击越普遍,公司企业最终沦为受害者的可能性越高。建立恢复预算以应对数据泄露或网络攻击事件是必要的,这为遭到攻击的情况预留资源可以减小公司所受的冲击。
建立明智的预算可以令公司企业制定出健壮的网络安全策略。而强大的策略来自明智的安全投资控制和训练有素的员工基础。
安全预算设计得越好,公司就越安全,越能应对面临的网络安全威胁。
助您决策!2025年受欢迎的内网安全软件排行
随着数字化进程的加速,内网安全已经成为企业不可忽视的重要环节。选择一款高效、可靠的内网安全软件,对于保障企业信息安全、提升运营效率至关重要。今天,我们就来聊聊几款在2025年备受推崇的内网安全软件,看看它们的技术特点和创新之处。一、域智盾:智能监控的佼佼者域智盾以其强大的实时监控能力脱颖而出。它能够同时追踪多台终端操作...
助力企业高效运营的电脑管控工具
企业想要在激烈的市场竞争中站稳脚跟,高效运营可是必不可少的关键。一说到高效运营,就不得不提那些在后台默默发力的电脑管控工具了。这些工具就好比企业的超级贴心助手,不仅让管理变得轻松许多,还能在不知不觉中提升工作效率,保证业务顺顺当当开展。今天,咱们就来聊聊这些神奇小帮手的技术亮点,看看它们是怎么用创新的法子助力企业向前冲...
掌握监控新趋势:局域网远程监控系统优势探秘
如今科技发展那叫一个日新月异,局域网远程监控系统在企业管理里的地位越来越重要。它就像企业的一双 “透视眼”,不仅能实时瞅着员工电脑的使用情况,还能帮着提升工作效率,把企业信息安全捂得严严实实。今儿咱就好好聊聊,这局域网远程监控系统到底有啥吸引人的技术特点,又能给企业带来哪些好处。一、局域网远程监控系统是什么?简单讲,就...
你了解终端准入系统的多重作用吗?
企业仿佛是一艘在数据海洋中破浪前行的巨轮,而终端准入系统,无疑就是那艘船上恪尽职守的 “守门员”。你或许会心生疑惑:这个 “守门员” 究竟有何神通,竟能助力企业在数据的汪洋里安稳航行?别着急,咱们这就一同深入探讨终端准入系统的多样妙用,以及它为何如此举足轻重。一、技术特点:精准识别,严格把控终端准入系统,本质上就是一道...
怎样设置电脑文件不能被拷贝呢?(技巧和方法详解)
《庄子·逍遥游》中的句子:“吾生也有涯,而知也无涯。”在当前的无纸化信息时代,数据虽然信息无穷,但安全的保护有其界限,需要人们警觉和措施,现代数据安全中,不应轻视今天的安全,应当即刻采取措施防止未来的风险。作为老板你希望的核心数据泄露吗?那我们应该怎样防范呢?下面跟着小编来学习一下禁止流程和方法:方法一:通过修改注册表...